sidetech

(元)インフラエンジニアの寄り道メモ。

Juniper SRX320とAWSでVPN接続

前回のSRX320の記事でBGPがどーちゃらと言っていたので、少しピンと来た人もいるかもしれませんが、実はAWSとのVPN接続を試したかったからです。

しかし・・・SRX320・・・シンドイ[E:sad]・・・AWS・・・シンドイ[E:wobbly]

結果的に出来たけどさ~・・・これ運用管理したくないよ?[E:coldsweats02]

まずSRX320ですが、冗長化構成(Active/Passive)は従来のSRXシリーズの方法で出来ますのであえて取り上げる事もない・・・かな?
ただ、GUIである程度リダンダント構成が組めるようになっていました。
問題はリダンダントインターフェースの組み方(作法)が私の知る限りでは2通りあるので、どちらを選択するかによると思いますが、rethインターフェースでの組み方でやる場合は結局はCLIが楽です。なんだかんだでrethによる冗長化設定をしておかないと言う事を聞いてくれないので、結果的には・・・GUICLIを駆使する事になります・・・。
あとfxp0の動きが中々シックリいかなかったですね・・・フェイルオーバーテストをした時も動きが・・・う”-む・・・なんだろう?!って感じでした。

さて、SRX冗長化構成でAWSとのVPN接続にすると、AWSが気を利かせてくれる「設定のダウンロード」にある情報ですが・・・このまま投入してしまうと動きません。泣きます。
Awsj01_2
AWSでのVPN接続は「VPN接続の作成」からアプローチすると比較的やりやすいと思います。。。画像はもう基本的な投入が完了してしまっていますが、入力しているのは、RemoteのIP(受け側のVPN機器:今回はSRX320)のグローバルIPを入れて、Remote側のネットワークセグメントと、BGP動的の設定と、VPNの対象とするVPCです(もう文字だけで説明しても分かりづらいよね・・・)。BGPはデフォルトのASNでいきませう。
なので、AWSサイドについてはVPCがあらかた組み終わっていて、何を最初の手順で行えばよいかが分かっていれば・・・カンタン?

Awsj02
問題はSRX側かな・・・画像はVPNウィザードなんですが、これが分かりにくい。今までNetscreenもSRXもこれ使ったことないので余計に分かりづらい。そしてAWSから提供されるのはCLIでの設定情報なんで、ウィザードに当てはめては使えません。

てことでCLIで挑む訳なのですが、リダンダントSRX環境なので一部読み替えて投入しなければなりません。

#set security ike gateway gw-vpn-1a23b567-x external-interface ge-0/0/0.0
こんな感じの設定内容で投入・・・ではなくてここでUntrustにあたるインターフェースを指定しなければならないのと、冗長化時でrethインターフェースの場合はreth0.0とかに書き換えねばならんす(実際には冗長化時は0.0は機器により強制的にfxp0だったりするので注意)。

SRXは0だったり0.0だったり分かりにくいよね。
IPSecの設定ではこのインターフェースの部分を気を付ければOK。

BGP側の設定はzoneに注意。
#set security zones security-zone trust interfaces st0.1
#set security zones security-zone untrust host-inbound-traffic system-services ike
#set security zones security-zone trust host-inbound-traffic protocols bgp

Juniper社会での標準ではtrust/untrustが主流ですが、ここでzone名を変更している場合はそのzoneに合わせて変更しないと駄目です。

それと当たり前の事なのですが、最初のIPSecであればこの程度の読み替えで済みますが、2つ目、3つ目と増やしていくと・・・読み替え範囲が多くなります。

あっしはBGP初心者なんでもうちょっと動きを勉強せねば・・・。

Awsj03
VPNが張れてるかどうかはMonitor画面で確認出来ます。StateがUPになっていますね。AWSIPSec2本掛けせねばならんので・・・ふぅ。

Awsj04
BGPもちゃんと動いていそうです。にわかインフラエンジニアな私でも出来ましたね[E:smile]

YAMAHA RTXでのBGPの事例は多いので私はやる予定はないのですが(ではなくて海外でも同じことをするのでJuniperを選んだまでで)、Configを見る限りではRTXの方が簡単に見えるんだよなぁ…。RTXって冗長化してBGP廻せるんだっけ?

Awsj05
てことで、AWS側もちゃんとステータスがUPになってBGPルートになりました。

うーん・・・。。。

これって2本分のIPSec通信が掛かるやん?

以前、Meraki MX100でも1本分だけ取りあえずVPN張ったんだけど殆ど無通信(IPSecのみ)で7000円位掛かるんだよね・・・。

倍[E:sign02]

勉強代高いなぁ・・・[E:coldsweats01]

とりあえず、SRXは15点台のファームになったけど・・・相変わらずツンツンしている感じでした[E:coldsweats01]
次はJuniper SRXのSD-WANな部分をやれればと思うんだけど・・・とりあえず遠隔指示書を書かねば・・・。

でも火曜日に納品されて今日にはもうVPN張れてるんだから早いっしょ?(笑)
届いてから構成を考えて・・・金曜日に冗長構成を仮組しておいて、今日環境に投入してAWSの接続まで。ちょこっと試験もしているのでだいたい1日仕事ですね。
これが委託している環境だと、まぁ~メンドクサイっ。これもSIしてもらおうとするとそれもまたメンドクサイ。結局自分でやるのが手っ取り早いのか・・・orz。

誰か安く面倒みてくれないかなぁ・・・。[E:coldsweats01]